ロールの推奨事項用のデータのエクスポート

IAM ロール推奨機能は、Google Cloud でのサービスの使用中に収集された IAM アクセスデータを使用して、推奨事項を提供します。このデータは主にコンプライアンス目的で使用されます。

このページでは、BigQuery Data Transfer Service を使用して、そのアクセスデータを BigQuery にエクスポートする方法について説明します。

分析情報と推奨事項のスナップショットをエクスポートする場合は、BigQuery への推奨事項のエクスポートをご覧ください。

始める前に

• Enable the IAM, Resource Manager, Recommender, BigQuery, BigQuery Data Transfer Service, and Pub/Sub APIs.

  Enable the APIs

• ロールの推奨事項について確認する。

必要な権限

データ転送の作成に必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。

• 組織のデータ処理制御リソース管理者（roles/dataprocessing.admin）
• データのエクスポート先のプロジェクトに対する BigQuery 管理者（roles/bigquery.admin）
• 転送の通知を既存の Pub/Sub トピックに公開するには: データのエクスポート先のプロジェクトに対する Pub/Sub 閲覧者（roles/pubsub.viewer）
• トピックの通知を新しい Pub/Sub トピックに公開するには: データのエクスポート先のプロジェクトに対する Pub/Sub 編集者（roles/pubsub.editor）

ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。

必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

集約された IAM アクセスデータをエクスポートする

プロジェクトの集約 IAM アクセス履歴を BigQuery にエクスポートするには、Transparency and Control Center を使用してデータ転送を設定します。

1. Google Cloud Console で、[プライバシーとセキュリティ] ページに移動します。

   プライバシーとセキュリティに移動

2. プルダウン リストから組織を選択し、[選択] をクリックします。

3. [透明性と管理] をクリックします。

4. [データ処理グループ] テーブルで [IAM] をクリックします。

5. ページの [データソース] セクションで、[転送を作成] をクリックします。

6. [プロジェクト] フィールドで [参照] をクリックして、データのエクスポート先のプロジェクトを選択します。プロジェクトで BigQuery Data Transfer Service API が有効になっていない場合は、[API を有効にする] をクリックして、API が有効になるまで待ちます。

7. [次へ] をクリックします。

8. データ転送を構成します。

   1. [表示名] フィールドに、データ転送の表示名を入力します。

   2. [スケジュール オプション] セクションで、データ転送を開始する時間と頻度を指定します。

      • 転送を開始するタイミングを選択するには、デフォルト値の [すぐに開始可能] のままにするか、[設定した時間に開始] をクリックします。
      • [繰り返しの頻度] フィールドで、転送を実行する頻度のオプションを選択します。[毎日] 以外のオプションを選択した場合は、追加のオプションが利用可能です。たとえば、[毎週] を選択した場合、曜日を選択するためのオプションが表示されます。
      • [開始日と実行時間] に、転送を開始する日付と時刻を入力します。[すぐに開始可能] を選択した場合、このオプションは無効になります。

   3. [データセット ID] フィールドで、データのエクスポート先の BigQuery データセットを選択します。

      既存のデータセットにデータをエクスポートすることも、新しいデータセットを作成することもできます。

      • 既存のデータセットにデータをエクスポートするには、[データセット ID] フィールドをクリックし、プルダウン リストからデータセットを選択します。

      • 新しいデータセットにデータをエクスポートするには、[データセット ID] フィールドで、[新しいデータセットを作成] に入力し、[データセットの作成ペイン] のフィールドに入力します。

        1. [データセット ID] フィールドに、データセットの ID を入力します。文字、数字、アンダースコアを使用できます。
        2. [データのロケーション] プルダウン リストから、米国（US）または欧州連合（EU）を選択します。
        3. オプション: [テーブルの有効期限を有効にする] を選択することによって、テーブルの有効期限を有効化します。
        4. （省略可）[暗号化] 方式を選択します。デフォルトの暗号化方式は、Google が管理する暗号鍵です。[顧客管理の暗号鍵（CMEK）] を選択した場合は、顧客管理の暗号鍵も選択する必要があります。

      設定した転送はデータセットと同じリージョンに配置されるため、移動できません。

   4. [project_numbers] フィールドに、エクスポートする集約 IAM アクセスデータをエクスポートするプロジェクトのプロジェクト番号を入力します。複数のプロジェクト番号をリストする場合は、プロジェクト番号をカンマで区切ります。最大で 10 個のプロジェクトのデータを一度にエクスポートできます。

      プロジェクトの番号を確認する方法は次のとおりです。

      1. Google Cloud コンソールで、[設定] ページに移動します。

         [設定] に移動

      2. プロジェクトを選択します。

      3. [プロジェクト番号] フィールドからプロジェクト ID をコピーします。

   5. 省略可: 転送の通知を有効にします。

      • 失敗した転送実行の通知を有効にするには、[メール通知] をクリックします。このオプションを有効にすると、転送の実行が失敗した場合、転送管理者にメール通知が送信されます。
      • 転送の Pub/Sub 通知を有効にするには、[Pub/Sub トピックを選択] をクリックし、トピックを選択または作成します。

9. [完了] をクリックします。

10. プロンプトが表示されたら、IAM Recommender 集約アクセス転送に Google アカウントへのアクセスを許可します。

既存のデータ転送を管理する

Transparency and Control Center または BigQuery で転送を表示して管理できます。

• 組織の IAM アクセスデータ転送をすべて表示するには、Transparency and Control Center を使用します。

  1. Google Cloud Console で、[プライバシーとセキュリティ] ページに移動します。

     プライバシーとセキュリティに移動

  2. プルダウン リストから組織を選択し、[選択] をクリックします。

  3. [透明性と管理] をクリックします。

  4. [データ処理グループ] テーブルで [IAM] をクリックします。このページの [データ転送] セクションには、組織の IAM アクセスデータ転送の集計が一覧表示されます。

  5. 個別の転送を管理するには、転送の表示名をクリックします。

• IAM アクセスデータ転送を含め、プロジェクト内のすべてのデータ転送を表示するには、BigQuery を使用します。

  1. Google Cloud コンソールで、[データ転送] ページに移動します。

     [データ転送] に移動

  2. データのエクスポート先のプロジェクトを選択します。

  3. [データ転送] ページには、IAM アクセスデータ転送などのプロジェクトのデータ転送がすべて表示されます。

  4. 個別の転送を管理するには、転送の表示名をクリックします。

次のステップ

• 推奨事項と分析情報のスナップショットをエクスポートする方法を学習します。
• ロールの推奨事項の使用に関するベスト プラクティスを理解する。
• 推奨事項を確認して適用する方法を確認する。
• ロールの推奨事項を無効にする方法を確認する。